Firewallkonfiguration unter Linux
Mauerbau auf Knopfdruck

Jens Friedrich / jos

UNIXopen  7-8/1998


Die Feinarbeit bei der Konfiguration einer Firewall ist enorm wichtig, denn schon kleine Fehler können die Sicherheit des Gesamtsystems in Frage stellen. Der Autor des visuellen Werkzeugs FCT stellt sein Programm im Detail vor.

der Firewall mit einer Screened-Subnet-Struktur bringt es hier leicht auf einige 100 Einträge.
    Das »Firewall Configuration Tool« setzt genau an diesem Punkt an: Die monoton aufgebauten Filterregeln können automatisch erstellt werden, da der Aufbau nach festen Regeln  erfolgt.
    Die notwendigen Informationen, einschließlich aller verwendeten Dienste, werden in Konfigurationsdateien gespeichert und automatisch ausgewertet. Diese beinhalten:

Netzwerktopologie

IP-Adressen von Rechner / Netzwerk,

Firewall ist Gateway oder Router,

Netzwerkinterfaces des Rechners ?

Dienst-Definition

Verbindungen eines Dienstes,

wo steht der Dienst zur Verfügung ?


    Mittlerweile gibt es viele Möglichkeiten, um unter UNIX - insbesondere Linux - eine Firewall zu implementieren, die sich in Fragen Sicherheit durchaus mit professionellen Lösungen messen kann. Die nötigen Werkzeuge liegen in Form von freier Software vor, die Konfiguration wird jedoch meist vernachlässigt und ist sehr fehleranfällig. Das »Firewall Configuration Tool« FCT bietet einen Lösungsansatz in diesem Umfeld.
    Die Konfiguration erweist sich gerade bei komplexen Aufgaben und besonders an empfindlichen Stellen im Netzwerk für Systemadministratoren oft als nervtötend und enthält viel potentielle Fehlerquellen. Die Konfiguration mit Hilfe von Paketfiltern stellt genau diesen Fall dar. Wenn durch Copy/Paste in den Scripts ein Fehler unterlaufen ist, steht mit absoluter


Sicherheit nach zwei Minuten das Telefon nicht mehr still, wenn aufgebrachten Usern bestimmte IP-Dienste nicht mehr zur Verfügung stehen.
    Dabei sind die Filterregeln, die nötig sind, um einen Dienst im Netzwerk benutzen zu können, relativ einfach und immer auf die gleiche Weise aufgebaut:

Quell- / Zieladresse

Quell- / Zielport

Aktion (ACCEPT, DENY)

Eventuell zusätzliche Flags

Eine komplette Liste der Filterregeln für alle in einer Firma verwendeten Dienste (mail, www, ftp, news, dns, ...) erreicht schon bei einem einfachen Router eine beachtliche Länge. Eine komplexe Konfiguration

Netzwerktopologie

Bild 1: Allgemeine Netzwerktopologie einer Firewall


    Im einfachsten Fall besitzt der Firewall genau ein Netzwerkinterface, üblicherweise einen Ethernet LAN-Anschluß. Über diesen werden Daten mit dem Netzwerk ausgetauscht, ein Weiterleiten (routing) von Paketen erfolgt auf dem Firewall-Rechner nicht. Um einen Dienst wie E-Mail von der Firewall aus benutzen zu können, genügt es, die für die E-Mail benötigten Verbindungen mit dem erlaubten Netzwerk zu erlauben: E-Mail von der Firewall ins interne Netzwerk und E-Mail vom internen Netzwerk zur Firewall.
    Besitzt die Firewall mehr als ein Netzwerk- Interface, fungiert sie


FCT - Firewall Configuration Tool


- 1 -

Homepage

1   2   3   4   5   6

Impressum